Differences between revisions 1 and 122 (spanning 121 versions)

Systemadministrasjonsgruppen (Driftsgruppen)

Dette er gruppen som tar seg av drift av NUUGs servere og nettjenester. Kontaktsiden for NUUG inneholder mer informasjon om driftsgruppen.

E-post adresse	drift@nuug.no sysadmin@rt.nuug.no (request-tracker)
E-postliste	https://lists.nuug.no/mailman/listinfo/aktive
Listearkiv	https://lists.nuug.no/pipermail/aktive/
Wikiside	https://wiki.nuug.no/grupper/sysadmin

Medlemmer

Gruppeleder	Peter N M Hansteen
Deltakere	Adrian Kjær Dalhaug, Anders Nordby, Peter N.M. Hansteen, Petter Reinholdtsen, Martin Langsjøen, Johnny A Solbu, Hans-Petter Fjeld, Thomas Gramstad, Marius Halden, Kristian Rønningen

Contents

Systemadministrasjonsgruppen (Driftsgruppen)
Gitlab
Nerdhaven
Geekbay
Vedlikehold av KVM
Informasjon om NUUGs maskinpark
Koble seg til NUUGs SQL-tjener
SSL-cert
Spamvask (spamd + exim+spamassassin+clamav) på portal.nuug.no
Planet NUUG
Manuelt oppdatere adict/web
Backup

Rutiner

IP-numre

Rutinen for å få nye IP-numre er å ta kontakt med USIT og be om å få et nytt IP-nummer, hvis vi ikke kan gjenbruke noen av de gamle vi har fått utdelt før. NUUG deler subnett med andre aktører, og har hittil hatt adresser i subnettet 158.36.191.128/25. Kontaktadresse for dette hos USIT er hostmaster@usit.uio.no.

Se også: Oversikt over NUUGs IP-adresser.

IRC

NUUG har kanalen #nuug på irc.oftc.net. Se også IRC_retningslinjer.

Gitlab

Det er satt opp en gitlab-instans som skal overta oppgaven som nå brukes av cvs. Se gitlab

Nerdhaven

11 mars 2022 kl 18:00 ble nerdhaven stengt for godt. Alt ble flyttet over til geekbay.
Innholdet i /home ble kopiert i sin helhet over til geekbay, resten ligger i mappen /root/fra-nerdhaven

Geekbay

Endre sudoers-fila

For å endre sudoers-fila må spesialkommandoen visudo brukes. Den bruker et spesielt oppsett og i utgangspunktet editoren vi.
visudo redigerer sudoers-filen på en sikker måte. visudo låser sudoers-filen mot flere samtidige redigeringer, utfører grunnleggende gyldighetskontroller og sjekker for syntaksfeil før den lagrer den redigerte filen.

Det er mulig å sette opp editor-miljøvariable slik at visudo vil bruke Emacs. I bash gjøres det slik:

VISUAL=emacs; export VISUAL EDITOR=emacs; export emacs

Tips/Bruk

Se her for tips og bruk av programvare på geekbay. Trenger du konto? Send en mail til drift at nuug.no med din offentlige SSH-nøkkel.

Opprette brukere fra nerdhaven

Ved flytting fra nerdhaven ble det oppdaget at passorddatabasen på BSD-maskinen ikke var kompatibel med Linux sin shadow-fil. Siden alle brukere derfor må få nye passord ble det bestemt å forsøke å rydde i brukerlista, slik at kun de som bruker kontoene sine blir opprettet.

Når en nerdhaven-bruker ber om å få konto på geekbay skal vedkommende få samme brukernavn som han hadde på nerdhaven. Listen over nerdhaven-kontoer ligger i filen /root/fra-nerdhaven/passwd
Det finnes et script som kjøres som automatiserer opprettelse av brukernavn og korrekte eierskap på brukerens hjemmekatalog og mailspool-fil gjenopprettes.
Scriptet er nerdhaven-bruker.sh og ligger i /root/.

Ved opprettelse av bruker som hadde konto på nerdhaven kjøres derfor følgende kommando:

/root/nerdhaven-bruker.sh brukernavn

Opprette nye brukere

De som skal ha konto sender mail til drift at nuug.no (eller sysadmin (at) rt.nuug.no for å sikre at ønsket ikke blir glemt) med offentlig SSH-nøkkel (hvis de har det) og forslag til brukernavn. Offentlig SSH-nøkkel kan f eks være fila id_rsa.pub (gitt bruk av RSA). Denne må av admin omgjøres (med cat som angitt nedenfor) til fila authorized_keys og legges inn på den nye brukerens område i katalogen .ssh og så må både katalogen og alle filer i katalogen endres eier (chown) og endres filbeskyttelse som angitt nedenfor.

Bruk adduser for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og velg standard-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen (altså fila, f eks id_rsa.pub) inn som den følgende fila hos den nye brukeren: ~user/.ssh/authorized_keys og dette må gjøres med cat-kommandoen:

adduser brukernavn
sudo -u user mkdir -m 700 ~user/.ssh
sudo -u user cat id_rsa.pub > ~user/.ssh/authorized_keys

Oppdatere NUUG-adresser (e-post-aliaser)

Rediger /etc/aliases på geekbay og kjør kommandoen newaliases.

Mailman-vedlikehold

Ny liste i Mailman

Opprette ny liste under @nuug.no:

# newlist <listenavn>

Dette legger blant annet inn alias i /var/lib/mailman/data/aliases.

Om listen skal være under et annet domene (eks. nobug.no):

# newlist --emailhost=nobug.no <listenavn>

Listenavn blir bruker-delen i epost-adressen. For andre domener enn nuug.no må det lages aliaser fra det andre domenet til nuug.no.

URL er https://lists.nuug.no/.

Endre url for en liste:

Eks. endre url fra "https://naavaerende.url/" til "https://ny.url/".

# withlist -l -i <listenavn>
> m.web_page_url                     # Vis nåværende url
'https://naavaerende.url/'
> m.web_page_url = 'https://ny.url/'  # Sett ny url
> m.Save()                           # Lagre endringen
> exit()                             # Avslutt

Vedlikehold av KVM

vert.nuug.no er virtualiseringsverten til NUUG. GUI-verktøyet virt-manager og kommandolinjeverktøyet virsh er gode inngangsporter til vedlikehold. Se blant annet

Informasjon om NUUGs maskinpark

Se også: Liste over maskinene til NUUG.

master.nuug.no er en SUN V20z
- Kontakter: 2 x SCSI, 3 x firewire, 1 x USB, 2 x TP-ethernet + managementport.
- SCSI-kontroller: LSI Logic MegaRAID SCSI 320-2X
ATAboy2 RAID-hylle med 14 x 180 GiB IDE-disker (USIT raid 58). Har supportkontrakt ut januar 2008.
- Koblet til ekstern SCSI-kontakt 0. Hyllen er satt opp som A02/RAID0 i MegaRAID-biosen for å gjøre den synlig for FreeBSD.
En ubrukt IBM eserver xseries 345 står i RACK-et.
vert.nuug.no er en Dell PowerEdge R510 kjøpt sommeren 2011.
2 x Dell StorageVault MD1000 med SAS-disker og tilhørende PERC 6 RAID-kontroller.

Koble seg til NUUGs SQL-tjener

NUUG har en PostgreSQL-tjener til bruk for NUUG-prosjekter. Den gir tilgang til utvalgte maskiner og brukere (spør sysadmin@rt.nuug.no om tilgang), og en kan koble seg opp f.eks. slik:

SSLMODE=required psql -h sqldb.nuug.no -U <brukernavn> <dbname>

SSL-cert

På geekbay har Solbu fikset automatisk letsencrypt-sertifikater via certbot. Se /letsencrypt.

Spamvask (spamd + exim+spamassassin+clamav) på portal.nuug.no

portal.nuug.no er en VM på vert, som kjører OpenBSD 7.1 (installert av Peter Hansteen) og har som primærformål å kjøre OpenBSD spamd (se http://man.openbsd.org/spamd, http://home.nuug.no/~peter/pf/en/spamd.html og http://bsdly.blogspot.no/2013/05/keep-smiling-waste-spammers-time.html )

Config-endringer:

/etc/pf.conf - kommentarer begynner med # - se etter start og slutt for blokken med spamd(8) - relevante linjer og kommentarene

/etc/rc.conf.local - rediger spamd_flags= i samsvar med spamd(8)

/etc/mail/spamd.conf - rediger i samsvar med spamd.conf(5)

/etc/mail/nospamd - se pf.conf -- denne er en liste over adresser som skal ledes utenom spamd(8) sine forsinkelser. Vedlikeholdes ved å kjøre et script som er beskrevet i artikkelen https://bsdly.blogspot.com/2018/11/goodness-enumerated-by-robots-or.html

/etc/exim/configure - legg inn domenet i domainlist relay_to_domains
- dette er en kolon-separert liste der en kan bruke backslash (\) som fortsettelsestegn for å hindre at linjene blir for lange. Formatet skulle være forståelig, men det er gjerne tryggest å kopiere nest siste oppføring og bare endre kopien til sitt domenenavn og listen route_list under router mimesbronn - søk etter mimesbronn og se den semikolon-delte listen route_list. For hvert domene trenges

1) domenenavn 2) navn på maskin portal skal sende videre til etter spamvask

Også her kan det være fornuftig å kopiere nest siste oppføring og redigere kopien med sin egen info. Og helt til slutt, når configure er redigert og lagret, last konfigurasjonen på nytt:

$ doas rcctl reload exim

Først da er domenet riktig konfigurert for spamvask via portal.

Husk og så på å sende melding om hva du har gjort (hvilke domener som er lagt til) i epost til drift@nuug.no . Note fra Peter: Noe av bakgrunnen for at jeg vil ha varsel om endring er at jeg her på bruket har en spamd.alloweddomains basert på innholdet i disse listene, noe vi meget vel kan innføre også på portal (se under GREYTRAPPING i man 8 spamd) for ekstra beskyttelse mot de som tror vi er åpne relay.

Spamassassin-regler: Disse er definert i /etc/mail/spamassassin/local.cf. Det er også lagt inn et større regelsett laget og vedlikeholdt av Kevin A. McGrail, https://www.pccc.com/downloads/SpamAssassin/contrib/KAM.cf .

Se etter reglene som allerede finnes, og sjekk for all del spamassassin-dokumentasjonen om du er i tvil om noe, og når du mener det er verd å sette endringene ut i livet,

$ doas rcctl reload spamassassin

Planet NUUG

lever på nerdhaven, config fil /usr/local/etc/planet/examples/basic/config.ini

Planet er flyttet til hotell, config fil er '/srv/http/planet.nuug.no/config.ini'.

Den oppdateres hvert femtende minutt via cron, crontab finnes i '/etc/cron.d/planetnuug'.

Manuelt oppdatere adict/web

Brukere med tilgang kan kjøre sudo push-web for å oppdatere nettsiden eller sudo push-adict for å oppdatere adict.

Backup

Hvordan gjøre backup og restore

-  ⇤ ← Revision 1 as of 2007-02-10 17:16:55 → 
  Size: 140
  Editor: PetterReinholdtsen
  Comment: Litt notater om nye RT-adresser.
+   ← Revision 122 as of 2022-08-20 02:21:38 → ⇥
  Size: 10747
  Editor: solbu
  Comment:
-Deletions are marked like this.
+Additions are marked like this.
 Line 1:
-= Systemadministrasjonsgruppen =
+= Systemadministrasjonsgruppen (Driftsgruppen) =
Dette er gruppen som tar seg av drift av NUUGs servere og nettjenester. Kontaktsiden for NUUG inneholder mer informasjon om driftsgruppen.
||'''E-post adresse''' || drift@nuug.no <<BR>> sysadmin@rt.nuug.no (request-tracker) ||
||'''E-postliste''' ||https://lists.nuug.no/mailman/listinfo/aktive ||
||'''Listearkiv''' ||https://lists.nuug.no/pipermail/aktive/ ||
||'''Wikiside''' ||https://wiki.nuug.no/grupper/sysadmin ||
-Line 3:
+Line 8:
-== Oppsett av RT-mailadresser ==
-Line 5:
+Line 9:
-Mailadresser som rutes inn i RT er listet opp i /etc/mail/aliases.
+== Medlemmer ==
||'''Gruppeleder''' ||[[https://home.nuug.no/~peter/|Peter N M Hansteen]]||
||'''Deltakere''' ||[[https://enpo.no/|Adrian Kjær Dalhaug]], [[http://pgp.cs.uu.nl/stats/00835956.html|Anders Nordby]], [[https://home.nuug.no/~peter/|Peter N.M. Hansteen]], [[http://pgp.cs.uu.nl/stats/2A30D729.html|Petter Reinholdtsen]], Martin Langsjøen, [[https://www.solbu.net/english/pages/about-me.html|Johnny A Solbu]], [[http://pgp.cs.uu.nl/stats/C3750307.html|Hans-Petter Fjeld]], [[http://gramstad.no/|Thomas Gramstad]], [[http://pgp.cs.uu.nl/stats/54096B8C.html|Marius Halden]], Kristian Rønningen ||

<<TableOfContents>>
== Rutiner ==

=== IP-numre ===

Rutinen for å få nye IP-numre er å ta kontakt med USIT og be om å få et nytt IP-nummer, hvis vi ikke kan gjenbruke noen av de gamle vi har fått utdelt før. NUUG deler subnett med andre aktører, og har hittil hatt adresser i subnettet 158.36.191.128/25. Kontaktadresse for dette hos USIT er hostmaster@usit.uio.no.

Se også: [[https://wiki.nuug.no/grupper/sysadmin/IpOversikt | Oversikt over NUUGs IP-adresser]].

== IRC ==

NUUG har kanalen #nuug på irc.oftc.net. Se også [[IRC_retningslinjer]].

= Gitlab =
Det er satt opp en gitlab-instans som skal overta oppgaven som nå brukes av cvs. Se [[grupper/sysadmin/gitlab|gitlab]]

= Nerdhaven =

'''''11 mars 2022 kl 18:00 ble nerdhaven stengt for godt. Alt ble flyttet over til geekbay.'''''<<BR>>
Innholdet i /home ble kopiert i sin helhet over til geekbay, resten ligger i mappen {{{/root/fra-nerdhaven}}}

= Geekbay =


== Endre sudoers-fila ==

For å endre sudoers-fila må spesialkommandoen {{{visudo}}} brukes. Den bruker et spesielt oppsett og i utgangspunktet editoren vi.<<BR>>
visudo redigerer sudoers-filen på en sikker måte. visudo låser sudoers-filen mot flere samtidige redigeringer, utfører grunnleggende gyldighetskontroller og sjekker for syntaksfeil før den lagrer den redigerte filen.

Det er mulig å sette opp editor-miljøvariable slik at visudo vil bruke Emacs. I bash gjøres det slik:

{{{
VISUAL=emacs; export VISUAL EDITOR=emacs; export emacs
}}}


== Tips/Bruk ==
Se [[grupper/sysadmin/tips/|her]] for tips og bruk av programvare på geekbay. Trenger du konto? Send en mail til {{{drift at nuug.no}}} med din offentlige SSH-nøkkel.

== Opprette brukere fra nerdhaven ==
Ved flytting fra nerdhaven ble det oppdaget at passorddatabasen på BSD-maskinen ikke var kompatibel med Linux sin shadow-fil. Siden alle brukere derfor må få nye passord ble det bestemt å forsøke å rydde i brukerlista, slik at kun de som bruker kontoene sine blir opprettet.

Når en nerdhaven-bruker ber om å få konto på geekbay skal vedkommende få samme brukernavn som han hadde på nerdhaven. Listen over nerdhaven-kontoer ligger i filen {{{/root/fra-nerdhaven/passwd}}}<<BR>>
Det finnes et script som kjøres som automatiserer opprettelse av brukernavn og korrekte eierskap på brukerens hjemmekatalog og mailspool-fil gjenopprettes.<<BR>>
Scriptet er {{{nerdhaven-bruker.sh}}} og ligger i {{{/root/}}}.

Ved opprettelse av bruker som hadde konto på nerdhaven kjøres derfor følgende kommando:
{{{
/root/nerdhaven-bruker.sh brukernavn
}}}

== Opprette nye brukere ==
De som skal ha konto sender mail til ''drift at nuug.no'' (eller ''sysadmin (at) rt.nuug.no'' for å sikre at ønsket ikke blir glemt) med offentlig SSH-nøkkel (hvis de har det) og forslag til brukernavn. Offentlig SSH-nøkkel kan f eks være fila {{{id_rsa.pub}}} (gitt bruk av RSA). Denne må av admin omgjøres (med {{{cat}}} som angitt nedenfor) til fila {{{authorized_keys}}} og legges inn på den nye brukerens område i katalogen {{{.ssh}}} og så må både katalogen og alle filer i katalogen endres eier ({{{chown}}}) og endres filbeskyttelse som angitt nedenfor.

Bruk {{{adduser}}} for å opprette brukere.  Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og velg standard-verdier på resten.  Når brukeren er opprettet legges ssh-nøkkelen (altså fila, f eks {{{id_rsa.pub}}}) inn som den følgende fila hos den nye brukeren: {{{~user/.ssh/authorized_keys}}} og dette må gjøres med {{{cat}}}-kommandoen:

{{{
adduser brukernavn
sudo -u user mkdir -m 700 ~user/.ssh
sudo -u user cat id_rsa.pub > ~user/.ssh/authorized_keys
}}}

== Oppdatere NUUG-adresser (e-post-aliaser) ==
Rediger /etc/aliases på geekbay og kjør kommandoen {{{newaliases}}}.

== Mailman-vedlikehold ==

=== Ny liste i Mailman ===

Opprette ny liste under @nuug.no:

{{{
# newlist <listenavn>
}}}
Dette legger blant annet inn alias i /var/lib/mailman/data/aliases.

Om listen skal være under et annet domene (eks. nobug.no):

{{{
# newlist --emailhost=nobug.no <listenavn>
}}}
Listenavn blir bruker-delen i epost-adressen. For andre domener enn nuug.no må det lages aliaser fra det andre domenet til nuug.no.

URL er https://lists.nuug.no/.

=== Endre url for en liste: ===

Eks. endre url fra "https://naavaerende.url/" til "https://ny.url/".

{{{
# withlist -l -i <listenavn>
> m.web_page_url                     # Vis nåværende url
'https://naavaerende.url/'
> m.web_page_url = 'https://ny.url/'  # Sett ny url
> m.Save()                           # Lagre endringen
> exit()                             # Avslutt
}}}

= Vedlikehold av KVM =
vert.nuug.no er virtualiseringsverten til NUUG.  GUI-verktøyet virt-manager og kommandolinjeverktøyet virsh er gode inngangsporter til vedlikehold.  Se blant annet

 * http://wiki.libvirt.org/page/Tips
 * http://libguestfs.org/

= Informasjon om NUUGs maskinpark =

Se også: [[https://wiki.nuug.no/grupper/sysadmin/hardware | Liste over maskinene til NUUG ]].

 * master.nuug.no er en [[http://sun.com/servers/entry/v20z/|SUN V20z]]
  * Kontakter: 2 x SCSI, 3 x firewire, 1 x USB, 2 x TP-ethernet + managementport.
  * SCSI-kontroller: [[http://www.lsi.com/storage_home/products_home/internal_raid/megaraid_scsi/megaraid_scsi_3202x/index.html|LSI Logic MegaRAID SCSI 320-2X]]
 * ATAboy2 RAID-hylle med 14 x 180 GiB IDE-disker (USIT raid 58).  Har supportkontrakt ut januar 2008.
  * Koblet til ekstern SCSI-kontakt 0.  Hyllen er satt opp som A02/RAID0 i MegaRAID-biosen for å gjøre den synlig for FreeBSD.
 * En ubrukt IBM eserver xseries 345 står i RACK-et.
 * vert.nuug.no er en Dell PowerEdge R510 kjøpt sommeren 2011.
 * 2 x [[grupper/sysadmin/StorageVaultMD1000|Dell StorageVault MD1000 med SAS-disker og tilhørende PERC 6 RAID-kontroller]].

= Koble seg til NUUGs SQL-tjener =
NUUG har en PostgreSQL-tjener til bruk for NUUG-prosjekter.  Den gir tilgang til utvalgte maskiner og brukere (spør sysadmin@rt.nuug.no om tilgang), og en kan koble seg opp f.eks. slik:

 . SSLMODE=required psql -h sqldb.nuug.no -U <brukernavn> <dbname>

= SSL-cert =
På geekbay har Solbu fikset automatisk letsencrypt-sertifikater via certbot. Se [[/letsencrypt]].

= Spamvask (spamd + exim+spamassassin+clamav) på portal.nuug.no =
'''portal.nuug.no''' er en VM på '''vert''', som kjører [[http://www.openbsd.org/|OpenBSD 7.1]] (installert av Peter Hansteen) og har som primærformål å kjøre OpenBSD spamd (se http://man.openbsd.org/spamd, http://home.nuug.no/~peter/pf/en/spamd.html og http://bsdly.blogspot.no/2013/05/keep-smiling-waste-spammers-time.html )

Config-endringer:

'''/etc/pf.conf''' - kommentarer begynner med # - se etter start og slutt for blokken med spamd(8) - relevante linjer og kommentarene

'''/etc/rc.conf.local''' - rediger spamd_flags= i samsvar med spamd(8)

'''/etc/mail/spamd.conf''' - rediger i samsvar med spamd.conf(5)

'''/etc/mail/nospamd''' - se pf.conf -- denne er en liste over adresser som skal ledes utenom spamd(8) sine forsinkelser. Vedlikeholdes ved å kjøre et script som er beskrevet i artikkelen https://bsdly.blogspot.com/2018/11/goodness-enumerated-by-robots-or.html

'''/etc/exim/configure''' - legg inn domenet i ''domainlist relay_to_domains<<BR>>'' - dette er en kolon-separert liste der en kan bruke backslash (\) som fortsettelsestegn for å hindre at linjene blir for lange. Formatet skulle være forståelig, men det er gjerne tryggest å kopiere ''nest siste'' oppføring og bare endre kopien til sitt domenenavn og listen ''route_list'' under ''router mimesbronn'' - søk etter ''mimesbronn'' og se den semikolon-delte listen ''route_list''. For hvert domene trenges

 . 1) domenenavn 2) navn på maskin portal skal sende videre til etter spamvask

Også her kan det være fornuftig å kopiere nest siste oppføring og redigere kopien med sin egen info. Og helt til slutt, når configure er redigert og lagret, last konfigurasjonen på nytt:

{{{
$ doas rcctl reload exim
}}}
Først da er domenet riktig konfigurert for spamvask via portal.

Husk og så på å sende melding om hva du har gjort (hvilke domener som er lagt til) i epost til drift@nuug.no . '''Note fra Peter:''' Noe av bakgrunnen for at jeg vil ha varsel om endring er at jeg her på bruket har en ''spamd.alloweddomains'' basert på innholdet i disse listene, noe vi meget vel kan innføre også på portal (se under GREYTRAPPING i man 8 spamd) for ekstra beskyttelse mot de som tror vi er åpne relay.

'''Spamassassin-regler:''' Disse er definert i ''/etc/mail/spamassassin/local.cf''. Det er også lagt inn et større regelsett laget og vedlikeholdt av Kevin A. McGrail,
https://www.pccc.com/downloads/SpamAssassin/contrib/KAM.cf .

Se etter reglene som allerede finnes, og sjekk for all del spamassassin-dokumentasjonen om du er i tvil om noe, og når du mener det er verd å sette endringene ut i livet,

{{{
$ doas rcctl reload spamassassin
}}}
= Planet NUUG =
--(lever på nerdhaven, config fil /usr/local/etc/planet/examples/basic/config.ini)--

Planet er flyttet til hotell, config fil er '/srv/http/planet.nuug.no/config.ini'.

Den oppdateres hvert femtende minutt via cron, crontab finnes i '/etc/cron.d/planetnuug'.

= Manuelt oppdatere adict/web =
Brukere med tilgang kan kjøre {{{sudo push-web}}} for å oppdatere nettsiden eller {{{sudo push-adict}}} for å oppdatere adict.

= Backup =
[[grupper/sysadmin/backup|Hvordan gjøre backup og restore]]